Aggiornamenti recenti Luglio 4th, 2025 3:43 PM
Set 23, 2022 Redazione news News, RSS, Vulnerabilità 0
Mentre indagava su una falla non correlata, il Trellix Advanced Research Center si è imbattuto in una vulnerabilità nel modulo tarfile del linguaggio di programmazione Python. Inizialmente pensavano di aver trovato una nuova vulnerabilità zero-day, ma hanno scoperto che il bug è vivo e vegeto da 15 anni.
Identificato come CVE-2007-4559, è un attacco di path traversal nelle funzioni extract ed extractall del modulo. Può consentire a un utente malintenzionato di sovrascrivere file arbitrari aggiungendo la sequenza “..” ai loro nomi in un archivio TAR. La vulnerabilità può essere sfruttata caricando un file dannoso generato con due o tre righe di codice semplice e consente agli aggressori l’esecuzione di codice arbitrario o il controllo del dispositivo attaccato.
Trellix ha scoperto che oltre 350.000 progetti sono vulnerabili a questa falla che è anche diffusa nei progetti closed-source. Come sottolineano i suoi ricercatori, il modulo Python tarfile è infatti predefinito in qualsiasi progetto che utilizzi Python e si trova diffusamente nei framework creati da Netflix, AWS, Intel, Facebook, Google e nelle applicazioni utilizzate per l’apprendimento automatico, l’automazione e i container Docker.
“Quando si parla di minacce alla supply chain, di solito ci si riferisce ad attacchi informatici come l’incidente di SolarWinds, ma costruire su fondamenta di codice deboli può avere un impatto altrettanto grave” – ha dichiarato Christiaan Beek, Head of Adversarial & Vulnerability Research dell’azienda.
Uno strumento gratuito per gli sviluppatori per verificare se le loro applicazioni sono vulnerabili è disponibile su GitHub del Trellix Advanced Research Center.
Mag 09, 2025 0
Set 12, 2024 0
Ott 02, 2023 0
Set 06, 2023 0
Lug 04, 2025 0
Lug 03, 2025 0
Lug 02, 2025 0
Lug 01, 2025 0
Lug 03, 2025 0
Recentemente il team Satori Threat Intelligence di HUMAN ha...Giu 09, 2025 0
La cybersecurity sta acquisendo sempre più importanza tra...Mag 30, 2025 0
Nel 2024, le piccole e medie imprese, spesso considerate il...Mag 27, 2025 0
MATLAB ha smesso di funzionare per quasi una settimana e...Mag 27, 2025 0
Nel corso del “TRU Security Day 2025” di...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Lug 04, 2025 0
Il Sinaloa, un cartello messicano, è riuscito ad...Lug 03, 2025 0
Recentemente il team Satori Threat Intelligence di HUMAN ha...Lug 02, 2025 0
Secondo quanto riportato da un articolo di Bloomberg, un...Lug 01, 2025 0
In un documento congiunto rilasciato ieri, la CISA,...Giu 30, 2025 0
I ricercatori di Koi Security hanno individuato una...